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Введение. Для повышения оперативности принятия решений на предприятии целесообразно использовать спе- 
циальный программный комплекс интеллектуальной поддержки. Такой продукт необходим при проектирова- 
нии системы защиты информации и повышении ее неуязвимости в ходе модернизации или изменения конфигу- 
рации. Цели исследования: создание алгоритма и математической модели программного комплекса интеллек- 
туальной поддержки принятия решений. 

Материалы и методы. Метод поддержки принятия решений при проектировании системы защиты информации 
базируется на использовании нейронной сети (многослойный персептрон). Для объективной оценки исходной 
защищенности информационной системы (ИС) сформирована математическая модель анализа событий без- 
опасности. 

Результаты исследования. Проанализирована статистика злоумышленных воздействий на ИС предприятий. 
Определена необходимость своевременной и точной модернизации системы защиты информации. Важными 
характеристиками процесса проектирования системы защиты информации являются скорость получения ре- 
зультата и снижение остаточного риска ИС. В связи с этим актуально использование систем искусственного 
интеллекта в процессе определения лучшего набора подсистем защиты. Классифицированы угрозы нарушения 
информационной безопасности (ИБ). Определены основные классы событий безопасности. Создана математи- 
ческая модель нейронной сети, указаны входные параметры ее работы. 

Действующая ИС предприятия генерирует многочисленные события, что обусловливает необходимость авто- 
матического сбора и анализа данных с подсистем регистрации объектов ИС. Детально рассмотрен процесс ана- 
лиза событий безопасности, так как от корректности данных, полученных таким образом, зависит адекватность 
сгенерированных проектных решений. Сформирован алгоритм работы программного комплекса. 

Обсуждение и заключение. Полученные результаты могут быть использованы при проектировании системы 
защиты информации на предприятии. Кроме того, администраторы ИБ могут применить разрабатываемый 
программный комплекс для корректировки конфигурационных настроек средств защиты информации. 
Предложенное решение позволит минимизировать деструктивное влияние разработчика системы защиты, 
который может быть и бывает субъективен. 


Ключевые слова: информационная безопасность, информационная система, нейронная сеть проектирования, 
многослойный персептрон, алгоритм. 
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Введение. С развитием промышленности в России растет число предприятий, отнесенных к объектам 
критической информационной инфраструктуры (ОКИИ). Статистика распространения атак от вендора РозШуе 
Теспо!оз1ез' показывает рост количества успешно реализованных злоумышленных воздействий в этой сфере. 
В 2019 году зафиксировано 125 атак на промышленные информационные системы (ИС). Это более чем в три 
раза (или на 212%) превосходит аналогичный показатель 2018 года (40 атак). Диаграмма распределения коли- 


чества атак по кварталам года (О) приведена на рис. 1. 


'Актуальные киберугрозы: ТУ квартал 2019 года / Розуе Тесвпооз1ез. ОВГ.: ВИрз://Ам\иу.р!зесигИу.сот/та-га/гезеагсЬ/апа1унс/субегзесшу- 
{геазсаре-2019-44 (дата обращения: 24.02.2020). 
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Рис. 1. Число атак на ИС предприятий в 2018 и 2019 году 


Промышленные ИС атакуют преимущественно с использованием вредоносного программного обеспе- 
чения (90 % атак). Данную сферу курируют Федеральная служба безопасности и Федеральная служба по техни- 
ческому и экспертному контролю. Необходимость обеспечения информационной безопасности (ИБ) промыш- 
ленных информационных систем подтверждается статистикой ведущих аналитических центров [1]. Согласно 
нормативно-правовым актам Российской Федерации’, владельцы ОКИИ задействуют комплекс организацион- 
но-технических мероприятий для обеспечения безопасного функционирования информационной инфраструк- 
туры. При этом законодательством предусмотрена периодическая ревизия качества функционирования системы 
защиты информации (СЗИ), оценка ее эффективности. Этим обусловлена необходимость оперативной коррек- 
тировки конфигурационных настроек имеющихся средств или доукомплектация системы инструментами защи- 
ты информации. Особую роль играют оперативность и точность принимаемых решений, а величина остаточно- 
го риска не должна превышать установленные показатели [2]. В связи с этим предлагается автоматизировать 
процедуру поддержки принятия решений при проектировании СЗИ на предприятии. 

Материалы и методы. Для поддержки принятия решений при проектировании СЗИ применен метод, 
основанный на нейронной сети (многослойный персептрон) [3]. Входные данные для работы нейронный сети 
— угрозы нарушения информационной безопасности и события безопасности. Кроме того, для объективной 
оценки исходной защищенности информационной системы сформирована математическая модель анализа со- 
бытий безопасности. В рамках этой модели рассчитанные меры сходства ИС сравниваются с одним из уровней 
безопасности ИС. В качестве метрики сходства используется взвешенное расстояние Манхэттена. 

Результаты исследования. В рамках данного исследования предложен подход к проектированию си- 
стемы защиты, основанный на показателях важности подсистем защиты информации, входящих в СЗИ [4]. С 
учетом этих данных предлагается формировать перечень средств защиты наиболее важных подсистем. Данный 
подход позволяет усилить СЗИ за счет нейтрализации актуальных угроз. При этом актуальность следует опре- 
делять, исходя из автоматизированного анализа событий безопасности [5, 6]. Вектор важности подсистем защи- 
ты информации формируется в соответствии с выражением 

У = 5(С1а55_Тйт), (1) 
где И = (И,,..., 5) — вектор важности подсистем СЗИ; С1а5$_Тйт = (С1а55_Ту, ..., С а5$_ТИть) — вектор ак- 
туальности классов угроз; 5 — функциональная зависимость, определенная нейронной сетью. 


2 О безопасности критической информационной инфраструктуры Российской Федерации : федер. закон от 26 июля 2017 г. № 187-ФЗ / Гос- 
ударственная Дума РФ, Совет Федерации // ФСТЭК России. ОВГ: Б@рз://Ещес.галекисвезКауа-хазбсВИа-шогпай/обезресвеше- 
Бегоразпози-киисвезКо]-шЁогла1юоппо]-птйазиаКгу/285-хаКопу/1610-Ее4егашту]-гаКоп-о{-26-1ушуа-2017-2-п-187-Ё2 (дата обращения: 
18.05.20). 
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Множество угроз ТАт нарушения ИБ для удобства разделим на классы С1а55_ТИт, которые определя- 
ются, как в [6]: 

С1а5$_Тйт = { Трт_Вт, ТАт_ Г, ТА_О15Е, ТАг_Го55$, Трт_В, ТАт_А}, (2) 
где Трг_Вт — класс угроз нарушения ИБ типа «взлом»; ТИг_Ё — класс угроз нарушения ИБ типа «утечка»; 
ТП_015Е — класс угроз нарушения ИБ типа «искажение»; ТАт_[.05$ — класс угроз нарушения ИБ типа «утра- 
та»; ТАг_В — класс угроз нарушения ИБ типа «блокирование»; Тйт_А — класс угроз нарушения ИБ типа «зло- 
употребление». 

Для формирования вектора актуальности угроз нарушения ИБ ИС предлагается формировать две мат- 
рицы соответствия: 
— множества угроз множеству классов угроз — МТйг, 


— множества событий безопасности классам угроз — МЕтепё. 


Матрица МТйт: 
МТит = Тйт х С1а55_Тйт = (тё)). (3) 
Здесь тёй;; определяется по формуле: 
пей, = | если угроза принадлежит классу угроз, (4) 
0 в противном случае. 
Здесь п — количество классов угроз, которым принадлежит угроза. 
При этом УЕ, У, тёН;; = 1. 
Матрица МЕуепЕ: 
МЕтетё = Ететё$ Хх СТйт = (тет,,). (5) 
Здесь тет; определяется по формуле: 
1, если событие возникает при реализации угрозы класса, 
Е | 0 в противном случае. (6) 


Для формирования вектора важности подсистем защиты информации предлагается использовать в про- 


граммном комплексе нейронную сеть — многослойный персептрон, функционирующий согласно формуле, 
приведенной в [7]: 
ок — Йк 
Оиё; = ГОлил Пил — 6%), (7) 


Пул = бий п 
где ок — К-Й нейрон входного слоя; 7, — К-й элемент входного вектора; Оиё;; — выходное значение /-го 
нейрона 1-го слоя; { — функция активации нейрона, которая определяется функциональной зависимостью 
(1); ил — вес [го входа /-го нейрона Г-го слоя; 1; — значение [-го входа /-го нейрона 1-го слоя; 9;, — уро- 
вень активации /-го нейрона 1-го слоя; Оиё;_1, — выходное значение /-го нейрона (1-— 1)-го слоя. 

На этапе анализа событий безопасности исходными данными являются журналы событий безопасно- 
сти, которые создает системное и прикладное программное обеспечение ИС предприятия. Множество событий 
безопасности Еуеи{5 включает в себя следующие классы [8]: 

Еуетё5 = {ЕщетЕт, Мападетептё5 иБЕт , Ассез5ОБ}Еу ,РоПсуСвпапдеЕу, 
ОзеРтищедезЕт, [5Ртосе$5езЕт, Гете 5Ез}. (8) 
Здесь ЕтетЕт — события класса «вход субъектов в систему»; Мападетете5 иБЕу — события класса «управ- 
ление субъектами»; Ассез5ОБ]Ет? — события класса «получение доступа к объектам»; РойсуСпапдеЕт — со- 
бытия класса «изменения политики системы»; И5еРти?ЦедезЕт — события класса «использование субъектом 
особых привилегий»); [5Ртосе55езЁт — события класса «функционирование процессов системы»; Гете $Ет 
— события класса «уровень системы». 

Из множества событий выбираются опасные. Для сопоставления множества опасных событий с клас- 
сами угроз используются матрицы соответствия. Матрица, сформированная в рамках данного исследования, 
представлена в табл. 1. 
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Таблица 1 
Матрица соответствия угроз нарушения ИБ ИС предприятия 
Типы угроз 
ее 
а 5 ъ 
3 |5 3 ыы 
я 1 о Е г 5 
ь Е 5 ы ы - — 
Класс события безопасности ра 5 а 5 © о а 
Ф = |” ‚2 > в > 
з о 1% о 5 ъ ъ 
> 5 % > 2 © 5 
ы З в а [м + к 
> А = 
5 < сз в 9% 
з о «а — 
= 5. > 
ТАт_Вт + + + 
Тйи_ Г, + + 
ТИ_215 + 
ТА"_Г05$ + + 
Тит_В 
Тик _ А + + + + 
































Затем формируется вектор актуальных классов угроз нарушения ИБ ИС. После этого актуальным клас- 
сам угроз противопоставляются подсистемы СЗИ. Соответствие определяется с помощью нейронной сети с 
учетом функциональной зависимости У в соответствии с формулой (1). 

Немаловажным фактором является количество анализируемых наборов событий и их источников. При 
этом стоит отметить, что количество событий безопасности прямо пропорционально количеству источников — 
информационных ресурсов ИС предприятия [8]. С учетом большого числа событий, генерируемых работающей 
ИС, актуально проводить автоматический сбор и анализ данных с подсистем регистрации объектов ИС, описы- 
вающих события. В связи с этим стоит подробно рассмотреть анализ событий безопасности, так как от кор- 
ректности полученных на этом этапе выводов зависит адекватность сгенерированных проектных решений. 

Согласно [9, 10], в определенный момент времени Т текущее состояние ИС предприятия 5т Е 
5тате, 5тайе = {5потт, 5аапд, 5апотт} можно охарактеризовать как: 

— нормальное (5п07т)) — штатное функционирование системы в соответствии с ее задачами и соглас- 
но документам, регламентирующим работу; 

— опасное (54ап.д) — некорректное функционирование ИС, фиксируются нарушения работы, связан- 
ные с атаками злоумышленника, сбоями и отказами программного и (или) технического обеспечения; 

— аномальное (бапотт) — временное изменение штатного режима функционирования ИС и всплеск 
аномальной активности пользователей, программ и сетевого трафика. 

Более детального анализа требуют опасные и аномальные события. Набор такого рода событий — это 
входные данные этапа сопоставления классов угроз. Такие события свидетельствуют о реализации угроз без- 
опасности. 

Следовательно, входными данными для нейронной сети (7) будут результаты мониторинга и анализа 
событий безопасности. 

Любое событие безопасности ЁуепИ5, может быть описано кортежем атрибутов [9]: 

Еуептё[$; = (ТО, Бава, Гете|, боитсе, ЕуетЕТуре, Етепё5 Ее, беситеРатат5), (9) 
где 2 — код события; ра — время генерации события; Геуе! — уровень опасности события; Зоигсе — ис- 
точник возникновения события; Еует!Туре — тип события; Еуеп5 кие — состояние события; ЗесигеРатату — 
вектор параметров безопасности события. 


5еситеРататз = (1, и, 715К), (10) 
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где й — показатель возникновения события определенного кода относительно общего количества событий без- 
опасности за период ДТ; и — тяжесть последствий события (потенциальный ущерб); 715 — риск нарушения 
информационной безопасности ИС. 

За период АТ в информационной системе генерируется множество событий ИС (ЕуепИ5), которые 
необходимо оценивать для определения уровня защищенности ИС. Соотношение числа событий того или иного 


типа к общему количеству определяет показатель р: 


в = 


МЕтеп О 
“МЕуети Но 
где МЕуеп/ Ш — количество событий определенного кода, МЁуеи! — общее число событий за период ДТ. 
Прикладные программные продукты по-разному определяю коды событий. Так, в рамках данной рабо- 
ты рассмотрена кодировка ОС \/тдо\из корпорации Мисгозой?. 
Риск нарушения информационной безопасности ИС — это функция от частоты реализации события и 


потенциального ущерба: 


715К = Пхи. (12) 
Сумма частных показателей позволяет определить общий риск А 15Кбит: 
ВК = УТ К, (13) 


Множество, обеспечивающее классификацию событий и оценку частных показателей безопасности 
ИС, описывается подмножествами элементов: 

РР5 = {{ЕуТуре}, {Еубшие}, {155ие}}. (14) 
Здесь ЕуГуре — множество типов обнаруженных событий, Еу5кие — множество возможных состояний собы- 
тий: 

Еубкие = {Еут, ЕуЧ, Буа}, (15) 
где Еу" — события нормального функционирования ИС; Е?“ — события нарушения ИБ ИС; Ет“— аномаль- 
ные события, характеризующие отклонения ИС от штатного режима функционирования (нуждаются в допол- 
нительном анализе). 

Для определения принадлежности события ЁуепИ5; к одному из трех состояний Еу5 ие решается зада- 
ча классификации — используется множество 5Р = РатдеЕу У МоттЕъ, разделяющееся на два базовых под- 
множества. Они формируются экспертной группой на основании данных о типовых событиях штатного режима 
функционирования ИС и ранее обнаруженных атаках и инцидентах ИБ, описывающих сигнатуру типовых для 
данной ИС и опасных событий: 

— РатдеЁу — множество событий, которые являются известными признаками атаки или определяют сцена- 
рий развития инцидента; 
— МоттЕу — множество событий, характерных для штатного режима функционирования ИС. 
Е(Етепт 5$; (Ет5 саде) > {5Р};) классифицируются следующим образом: 
Ет", Етет Г 5; Е МоттЕъ, 


Етет 15; (Ет5таде) = ЕуЧ, ЕтетЕ 1$; Е РатадеЕт, (16) 
Ез“, Еует 15; & МоттЕу 9 РатадеЕт. 


Здесь ЕтетЕ 15; (Еу5таёе) — события ИС с атрибутом состояния, каждому из которых соответствует набор свя- 
зей 5Р; с типовыми событиями из множества шаблонов штатного режима и режима с нарушением ИБ. 

Если событие отсутствует в профилях штатных событий или событий нарушения безопасности, оно 
определяется как аномальное. Причины его возникновения должны отдельно рассматриваться администрато- 
ром системы ИБ. 

155 ие ={15погт, 5аапе,15апогт} — множество состояний ИС, указывающее на штатный режим функ- 


ционирования ИС. Состояние ИС определяется по формуле: 


ЗОписание событий системы безопасности в У шао\$ 7 и \Ушдо\з Зегуег 2008 В2 / Мисгозой. ОВГ: Вирз://зиррог.писгозой.сот/го- 
гае!р/977519/4езсирноп-оЁЕ-зесигИу-еуеп-ш-\уи140%5-7-ап4д-ш-улио\з-зегуег-2008 (дата обращения: 05.08.2019). 
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5потт, УЕтет 15; Е Еуепт!5 |Ет5 ще = Етп, 


155а4е = 3 [54апд, ЗЕуеп $; Е Еуеп 15 |Еубъаке; = Бу, (17) 
5апотт, [5потт п 15аапд, 


где Гбиогт — режим нормального функционирования ИС; /5апогт — режим функционирования ИС с призна- 


ками аномальной активности; /54апе — режим с зафиксированными нарушениями безопасности ИС (рис. 2). 


Описывается Описывается 
множество множество 
нормальных 1$дапо событий 
событий ТЗапопи безопасности 
Описывается 
множество 
аномальных 
событий 


Рис. 2. Отношения подмножеств состояний ИС 


С учетом полученных данных формируется вектор, определяющий состояние ИС, суммарный риск, а 
также долю аномальных событий и событий нарушения безопасности: 

15 = (155 ае, Е15Кзит, МапЕт, МаапаЕъ), (18) 
где Мапа[Ет — доля обнаруженных аномальных событий, М4апаЁт — доля событий нарушения ИБ ИС пред- 
приятия. 

Для принятия решения о необходимости усиления подсистем защиты информации рассчитывается уро- 
вень безопасности ИС 5Г: 

51, = {безопасное, стабильное, аномальное, кризисное, опасное}. 

Для определения уровня безопасности ИС проектировщик системы ИБ формирует вектор, определяю- 
щий эталонный показатель защищенности ИС 15_Рет}. 5Ё формируется на основании сходства векторов 15 и 
15_Рет}. 

Для оценки безопасности ИС в рамках данной математической модели принято пять уровней, поэтому 
при определении принадлежности ИС к одному из уровней применен метод А ближайших соседей [10]. С этой 
целью составляются вспомогательные векторы, соответствующие оставшимся четырем уровням безопасности. 
Выполнение данной операции базируется на значениях вектора 1[5_Рет}{, соответствующего безопасному уров- 
ню состояния ИС при умножении на скалярный корректирующий коэффициент (значение определяется экс- 
пертным путем): 

Кх В1$ = (Кх 155аще, К х В15Кзит, К х МапщЕтете, к хх МаапаЕтети). (19) 

В качестве метрики сходства используется взвешенное расстояние Манхэттена [10]: 

р(15, 15) = и У.4_ 115; — В!$). (20) 

На основании представленной математической модели разработан обобщенный алгоритм работы про- 


граммного прототипа (рис. 3). 
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Рис. 3. Алгоритм работы программного прототипа комплекса интеллектуальной поддержки принятия решений при 
проектировании системы защиты информации на предприятии 


Шаг 1 (блоки 1, 2). Запуск программного прототипа. Начало алгоритма. Ввод входных данных о векто- 
рах требований 15_Ретг} к состоянию ИС каждого уровня безопасности. Ввод периода, через который будет 
проводиться мониторинг. Загрузка из БД шаблонов с множествами нормальных и опасных событий. 

Шаг 2 (блоки 3—5). Мониторинг журналов событий ОС, получение записей о каждом событии. Форми- 
рование списка событий. 
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Шаг 3 (блок 6). Анализ данных о собранных событиях, формирование кортежа событий — формула (8). 
Классификация событий по формулам (14—15) на нормальные, аномальные и опасные. Расчет частоты возник- 
новения событий, потенциального ущерба и риска по формулам (11-13). 
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Шаг 4 (блоки 7-11). Классификация состояний ИС по формуле (17) на основе данных о распределении 
событий на множество аномальных, нормальных и опасных (шаг 3). 

Шаг 5 (блоки 12—14). На основании рассчитанных данных и кортежей событий в ИС формирование 
вектора текущего состояния, вычисление мер сходства между векторами /[5 и [5_Рет{: формулы (19), (20). При- 
нятие решения о принадлежности ИС к одному из пяти уровней безопасности. 

Шаг 6 (блок 15). Завершение алгоритма. 

Заключение. В рамках данного исследования предложен подход к моделированию системы защиты 
информации. Учитывается различный качественный и количественный состав средств защиты в зависимости от 
актуальных угроз нарушения информационной безопасности. Представленный метод позволяет повысить эф- 
фективность работы внедряемой системы защиты информации и уменьшить вероятность ошибки проектиров- 
щика. Программный комплекс, создаваемый в рамках данного исследования, обладает преимуществами, кото- 
рые невозможно получить при «ручном» проектировании: 

— учет всех данных о защищаемой системе, 
— получение точных результатов в максимально короткий срок. 
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